Det är dags att sluta använda SMS och 2FA-appar för tvåfaktorautentisering

Annons

Idag verkar det som att varje webbplats du någonsin besöker uppmanar dig att göra det använd tvåfaktorautentisering (2FA).

Ett av de vanligaste sätten att använda 2FA är att mata in en unik kod från din mobila enhet. Vanligtvis får du koden i ett textmeddelande eller så använder du en 2FA-app från tredje part för att generera en.

De två metoderna är båda populära sätt att använda koder på grund av deras bekvämlighet. Men båda metoderna är också svaga ur säkerhetssynpunkt. Och eftersom din 2FA-kod bara är lika säker som den teknik som används för att leverera den, är svagheterna viktiga.

Så vad är fel med med SMS och tredjepartsappar för att komma åt dina koder Vad är lösenordslösa inloggningar? Är de verkligen säkra?Lösenordslösa inloggningar kommer. Är de säkra? Hur i alla fall fungerar lösenordlösa inloggningar? Här är vad du behöver veta. Läs mer ? Och finns det ett lika bekvämt alternativ som är säkrare? Vi kommer att förklara allt. Fortsätt läsa för att ta reda på mer.

Hur tvåfaktorsautentisering fungerar

Låt oss ta en stund för att diskutera hur tvåfaktorsautentisering fungerar. Utan att förstå mekaniken bakom tekniken kommer resten av den här artikeln inte att ge mycket mening.

I stort sett 2FA lägger till ett extra lager av säkerhet till ditt konto Hur du säkra dina konton med 2FA: Gmail, Outlook och merKan tvåfaktorautentisering hjälpa till att säkra din e-post och sociala nätverk? Här är vad du behöver veta för att få säker online. Läs mer . Även känd som multifaktor-autentisering består inloggningsuppgifter inte bara av ett lösenord, utan också av en andra information som bara kontoens legitima ägare har tillgång till.

2FA finns i många olika former Fördelar och nackdelar med tvåfaktorsautentiseringstyper och metoderTvåfaktors autentiseringsmetoder skapas inte lika. Vissa är påvisbart säkrare och säkrare. Här är en titt på de vanligaste metoderna och vilka som bäst uppfyller dina individuella behov. Läs mer . På sin mest grundläggande nivå kan det vara något så enkelt som säkerhetsfrågor (eftersom ingen annan kunde göra det känner din mammas jungfrun Varför du svarar på lösenordssäkerhetsfrågor felHur besvarar du säkerhetsfrågor på nätet? Ärliga svar? Tyvärr kan din ärlighet skapa en chink i din online rustning. Låt oss ta en titt på hur du säkert kan svara på säkerhetsfrågor. Läs mer eller ditt favoritdjur). I det mer komplicerade slutet kan det vara ett biometriskt ID som näthinneskanning eller fingeravtryck.

Varför du bör undvika SMS-verifiering

SMS har en position som det mest tillgängliga sättet att komma åt och använda 2FA-koder. Om en webbplats erbjuder tvåfaktors-autentiseringsinloggningar erbjuder den nästan säkert SMS som ett av alternativen.

Men SMS är inte ett säkert sätt att använda 2FA. Det har två viktiga sårbarheter.

För det första är tekniken det känsliga för SIM-swapattacker. Det krävs inte mycket för en hackare att utföra ett SIM-byte. Om de har tillgång till en annan personlig information - som ditt personnummer - kan de ringa din operatör och flytta ditt nummer till ett nytt SIM-kort.

För det andra kan hackare fånga upp SMS. Det hela kommer tillbaka till det nu-daterade signaleringssystemet nr 7 (SS7) telefonrutningssystem. Metodiken utformades redan 1975 men används fortfarande nästan globalt för att ansluta och koppla från samtal. Det hanterar också nummeröversättningar, förbetalda fakturering och avgörande SMS-meddelanden.

Det är inte överraskande att denna teknik från 1975 är full av säkerhetshål. Här är hur säkerhetsekspert Bruce Schneier beskrev bristerna:

”Om angriparna har tillgång till en SS7-portal kan de vidarebefordra dina konversationer till en online inspelningsenhet och omdirigera samtalet till dess avsedda destination [...] Det betyder att en välutrustad brottsling kan ta tag i dina verifieringsmeddelanden och använda dem innan du ens har sett dem."

Naturligtvis att upptäcka att en cyberkriminell har det hackade din Facebook Hur du tar reda på om ditt Facebook-konto har hackatsNär Facebook har så mycket data måste du skydda ditt konto. Så här tar du reda på om din Facebook har hackats. Läs mer konto är långt ifrån idealisk. Men situationen är skrämmande när man överväger andra användningar av 2FA. En cyberkriminell kan stjäla koder som du använder i din onlinebanking, eller till och med initiera och slutföra pengaröverföringar De 6 bästa apparna för att skicka pengar till vännerNästa gång du behöver skicka pengar till vänner, kolla in dessa fantastiska mobilappar för att skicka pengar till vem som helst på några minuter. Läs mer .

Dessutom hävdar Schneier också att vem som helst kan köpa åtkomst till SS7-nätverket för cirka 1 000 dollar. När de har tillgång kan de skicka en routingförfrågan. För att slutföra problemet kanske nätverket inte verifierar källan för begäran.

Kom ihåg att använda tvåfaktorsautentisering via SMS är bättre än att lämna 2FA inaktiverat. Och det är antagligen osannolikt att du blir ett offer. Men om du börjar känna dig lite bekymrad måste du fortsätta läsa. Många accepterar att SMS är osäkert och vänder sig till tredjepartsappar istället.

Men det är kanske inte mycket bättre.

Varför du bör undvika 2FA-appar

Det andra vanliga sättet att använda 2FA-koder är att installera en dedicerad smartphone-app. Det finns mycket att välja mellan. Google Authenticator är utan tvekan den mest kännbara, men den är inte nödvändigtvis den bästa. Det finns många alternativ där ute - kolla Authy, Authenticator Plus och Duo.

Men hur säkra är specialiserade 2FA-appar? Deras största svaghet är deras förlita sig på en hemlig nyckel.

Låt oss ta ett steg tillbaka en sekund. Om du inte är medveten om du registrerar dig för många av apparna för första gången, måste du ange en hemlig nyckel. Hemligheten delas mellan dig och appens leverantör.

När du öppnar en webbplats är koden appen skapar baserad på en kombination av din nyckel och aktuell tid. Samtidigt genererar servern en kod med samma information. De två koderna måste matchas för att åtkomst ska beviljas. Låter förnuftigt.

Så varför är nycklar den svaga punkten? Tja, vad händer om en cyberkriminell lyckas få tillgång till ett företags lösenord och hemlighetsdatabas? Varje konto skulle vara sårbart - angriparen kunde komma och gå Hur man kontrollerar om någon annan har åtkomst till ditt Facebook-kontoDet är både olyckligt och oroande om någon har tillgång till ditt Facebook-konto utan din vetskap. Så här vet du om du har blivit överträtt. Läs mer när som helst.

För det andra visas hemligheten antingen i vanlig text eller som en QR-kod; det kan inte vara hashes eller används med ett salt Vad allt detta MD5 Hash-material egentligen betyder [teknik förklarat]Här är en fullständig nedgång av MD5, hashing och en liten översikt över datorer och kryptografi. Läs mer . Det finns förmodligen också i vanlig text på företagets servrar.

Den hemliga nyckeln är den grundläggande bristen i det tidsbaserade engångslösenordet (TOTP) som specialappar använder. Det är därför en fysisk U2F-nyckel alltid är ett säkrare alternativ.

Brister i design och säkerhet för 2FA-appar

Självklart är chansen att en cyberkriminell hackar en tredjeparts apps nödvändiga databaser ganska små. Men din app kan också drabbas av grundläggande säkerhetsfel i sin design.

Populär lösenordshanterare LastPass 8 enkla sätt att ladda din LastPass-säkerhetDu kanske använder LastPass för att hantera dina många online-lösenord, men använder du det rätt? Här är åtta steg du kan vidta för att göra ditt LastPass-konto ännu säkrare. Läs mer blev offer i december 2017. EN programmerarens blogginlägg på Medium avslöjade 2FA-hemliga nycklar kan nås utan fingeravtryck, lösenord eller andra säkerhetsåtgärder.

Lösningen var inte ens komplicerad. Genom att öppna LastPass Authenticator-appens inställningsaktivitet (com.lastpass.authenticator.activities). SettingsActivity), kan man ange inställningsfönstret för appen utan några kontroller. Därifrån kan du trycka Tillbaka en gång för att komma åt alla 2FA-koderna.

LastPass har nu fixat felet, men frågor kvarstår. Enligt programmeraren hade han försökt berätta LastPass om frågan i sju månader, men företaget fixade det aldrig. Hur många andra 2FA-appar från tredje part är osäkra? Och hur många oförändrade sårbarheter vet utvecklarna om men försenar korrigering? Det finns också oro när det gäller förlorar åtkomst till din kodgenerator på Facebook Hur du loggar in på Facebook om du tappat åtkomst till kodgeneratorHar du tappat åtkomst till Facebooks kodgenerator? Den här artikeln behandlar alternativa metoder för att logga in på ditt Facebook-konto. Läs mer till exempel.

Vad du ska göra i stället: Använd U2F-nycklar

Istället för att lita på SMS och 2FA för dina koder, bör du använda Universal 2: a faktorknappar Vad är U2F-nycklar och var stöds de?U2F-nycklar är ett av de bästa sätten att hålla dina konton säkra och säkra. Men var stöds U2F-nycklar? Läs mer (U2F). De är det säkraste sättet att generera koder och få åtkomst till dina tjänster.

Allmänt betraktas som en andra generationens version av 2FA, det förenklar och stärker det nuvarande protokollet. Att använda U2F-nycklar är dessutom nästan lika bekvämt som att öppna ett SMS eller tredjepartsapp.

U2F-nycklar använder antingen en NFC- eller USB-anslutning. När du ansluter din enhet till ett konto för första gången genererar den ett slumpmässigt nummer som kallas "Nonce." Nonce är hashad med webbplatsens domännamn för att skapa en unik kod.

Därefter kan du distribuera din U2F-nyckel genom att ansluta den till din enhet och vänta på att tjänsten känner igen den.

Så, vad är nackdelen? Tja, även om U2F är en öppen standard, kostar det fortfarande pengar att köpa en fysisk U2F-nyckel. Och kanske mer rörande, du riskerar stöld.

En stulen U2F-nyckel gör inte ditt konto automatiskt osäkert; en hackare skulle fortfarande behöva känna ditt lösenord. Men i ett offentligt område kan en tjuv redan ha sett att du anger ditt lösenord på avstånd innan du stjäl dina ägodelar.

U2F-nycklar kan vara dyr

Priserna varierar avsevärt mellan tillverkare, men du kan förvänta dig att betala mellan cirka $ 15 och $ 50.

Helst vill du köpa en modell som är "FIDO-certifierad." FIDO (Fast IDentity Online) Alliance ansvarar för att uppnå interoperabilitet mellan autentiseringstekniker. Medlemmar inkluderar alla från Google och Microsoft, till Bank of America och MasterCard.

Genom att köpa en FIDO-enhet kan du vara säker på att din U2F-nyckel kommer att fungera med alla tjänster du använder varje dag. Kolla in DIGIPASS SecureClick U2F-nyckeln om du vill köpa en.

Osäker 2FA är fortfarande bättre än nr 2FA

Sammanfattningsvis ger Universal 2nd Factor-tangenter ett lyckligt medium mellan användarvänlighet och säkerhet. SMS är det minst säkra tillvägagångssättet, men det är också det mest praktiska.

Och kom ihåg att alla 2FA är bättre än inga 2FA. Ja, det kan ta dig ytterligare 10 sekunder att logga in på vissa appar, men det är bättre än att offra din säkerhet.